Qingwa
(青小蛙)
1
原始链接在: Notepad++ 两连更,修复1个多月的安全漏洞,此前更新机制可被黑客用于投毒 - 小众软件
开源文本编辑器 Notepad++ 接连发布了 v8.8.8/v8.8.9 更新,修复了更新组件 WinGUp 在对下载文件签名和证书校验不够严格的问题。
上月,Notepad++ 爆出了安全漏洞:在安装了 Notepad++ 的机器上,黑客劫持网络后,利用自动更新机制,自动下载被投毒的恶意可执行文件。
Notepad++ 两次安全更新
这件事应该有1个多月了。用户只需要更新至最新的 v8.8.9 即可解决问题。
- v8.8.8:修改下载源和 URL 域名,降低被劫持和滥用的可能性。
- v8.8.9:在下载结果上加验签和证书校验,就算路径被劫持了,也能阻止恶意安装包被执行。
Notepad++ v8.8.8
2025年11月18日,Notepad++ 发布了 v8.8.8 版本,开发者说:「过去两周,我与一些安全专家进行了沟通,发现 WinGUp(Notepad++ 使用的自动更新程序)存在潜在的劫持漏洞。该问题已在最新版本中得到解决。」
Notepad++ v8.8.9
昨天(2025年12月10日),Notepad++ 发布了 v8.8.9 版本,再次更新漏洞:
到底发生了什么?
在本月初,Beaumont 发布了一篇《少数 Notepad++ 用户报告安全问题》,介绍了一个有趣的事情。
他说他收到了3封来信,他们在安装了 Notepad++ 的机器上发生了安全事件,怀疑是 Notepad++ 进程产生的初始访问。并且导致后面的中毒事件。
而在上面提到的 v8.8.8 版本更新中,只修复了一半这个问题。
出问题的 WinGUP 是什么?
WinGUP 是 Notepad++ 开发者为了自动更新自身,专门写的自动更新程序。是的,他俩是同个开发者。
WinGUP 会读取 xml 配置文件以获取程序的当前版本和 WinGUp 获取更新信息的 URL,检查该 URL(使用给定的当前版本)以获取更新包位置,下载更新包,然后运行相关的更新包(它应该是 msi 或 exe 文件)。
原理大概是这样的:
而此前,由于 WinGUP 不验证 HTTPS 服务器证书和 MSI/EXE 安装包签名,黑客拦截了流量,并修改了其中的 URL 地址,于是用户电脑自动下载到了恶意软件,并安装。
从 v8.8.8 起,WinGUP 会强制从 github.com 下载,而 v8.8.9 起,增加严格的证书和签名校验,从而避免下载安装包的完整性。
所以,v8.8.9 修复了另一半的问题。
最后的建议
由于Notepad++ 拥有大量用户,经常会成为恶意攻击者的目标,如果你使用 Notepad++,建议升级到最新版本。
这里是他的官方 GitHub:
如果你想寻找替代品,可以参考社区中的一些内容:
注意上面第二个帖子,年头有点久,但还在开放中,似乎大家并没有一个满意的替代品。
原文:https://www.appinn.com/notepad-plusplus-v8-8-9/
qinshou
(秦寿)
3
自从配置文件损坏了额之后,就换notepad --了。这俩基本上差不多,我也懒得去修复notepad++了。自动升级这事,在什么时候都不是选项,如果我还能选的话。
2 个赞
icefed
(icefed)
6
大陆用户慎用,此软件作者曾经威胁大陆用户会随机修改编辑内容。
8 个赞
tjsky
(去年夏天)
7
不是很懂为什么要用notepad++,因为notepad++夹在中间不上不下的
如果不是为了写代码,只是简单改点什么文本,浏览代码,notepad4、notepad-、EmEditor之类的不是启动和打开的速度更快吗?
如果是写代码,各种IDE不是更合适。
notepad++ 夹在中间不上不下的,论打开速度比不过EmEditor,论体积和占用比不过notepad4(其实打开速度也比不过)
1 个赞
Cheven
8
notepad++作者的言论让我早就放弃它了,又不是不可替代
8 个赞
adoin
(胤玄)
9
我用notepad–
不理解人都反华急先锋了还在用吗。。。
4 个赞
leone
10
notepad++ 有啥使用场景,代码有 vsc,查看日志,编辑普通文本用 emeditor,抛开政治立场,这软件也不好用啊
hzhbest
(天平那方重力异常)
11
抓虫
——
另外,根本不用
Notepad2 Mod、Notepad3、Notepad4、Vscode、SciTE甚至是Kate都更好用的说
notepad++ 是我每天高强度在用的软件,我想替换 notepad++,麻烦给出推荐。我的需求如下:
我把 notepad++ 作为 暂存区,我不用它打开任何文件,只用于随手记录一些东西,呼之即来挥之即去。
- 有标签页功能,支持 ctrl+N 创建新的标签页。
- 标签页暂存功能,关闭软件,下次打开时内容还在。
- 标签页暂存的内容以文本文件的形式的保存在我指定的目录中。
- 快。冷启动 0.5s 内打开。
- 最好资源消耗低
我的实际使用场景是:
遇到感兴趣的文字片段 → ctrl+C 复制 → alt+1 冷启动软件 → ctrl+V 粘贴 → alt+Q 退出软件。全程只靠左手在 3 秒内完成。
目前最接近我的需求的是 Notepads,也用了一段时间,但是它不够快,最后还是换回 notepad++ 了。
Pixie
(乌咪)
13
你这个使用场景我觉得用 CatMemoNote 更合适,完美符合你的要求,而且它直接Ctrl+C就可以采集文本,无需你那一串操作。(启动软件后在托盘的软件图标上右键选择“自动采集”就可以用了,或者在设置里为“自动采集”设置个热键,用热键开关“自动采集”功能)
jackusay
(Jason Tom)
15
我找到唯一一個接近np++的是cudatext。缺点是你需要去调动他的选项,他提供一堆选项。。。
L11
(漢故征西將軍曺侯)
16
@Pixie @18CM @jackusay @L11
首先感谢各位的无私帮助。各位推荐的软件我都尝试了,但是都差了那么一点。由于是超高频使用的软件,因此不希望体验打折扣。
我刚刚给我的需求补充了一点:
原因是我有自己的全文搜索脚本(我甚至定义了一套 自用的搜索文法),我把所有有用的文本文件都放在一个目录中了,统一搜索。
因此:
- CatMemoNote、wxNotepad2 不符合我的需求。
- cudatext 则是性能有些问题,框选文字有些卡卡的。
- Everedit 是一个无限接近完美的答案,但是它暂存的标签页内容的文件使用的是 utf-16le 编码,而我需求它是 utf-8。我正在咨询作者中,看看有没有解决办法。
Pixie
(乌咪)
18
CatMemoNote 可以在设置自定义笔记本保存的目录,保存的标签页内容也是UTF-8的txt文件
npp前两年就爆出过严重漏洞,隔了半年才修复。那时候就弃用了。一开始使用cudatext,后来索性用notepad3等更轻量的文本编辑器。更复杂的编辑需求索性使用vscode。慢慢觉得npp的生态位已经不需要了
NoBug
(freeOptions)
20
我觉得flashpad比较符合你的需求,可以配合手势软件,想要记录东西的时候,鼠标滑动到右上角就可以把flashpad调出来,记录完再滑到右上角就可以将flashpad缩回去。
